易搜易搜
机场” 的搜索结果:共 1000
@dnyxwzx
4 浏览2026/07/13
在 Telegram 打开
@dnyxwzx
4 浏览2026/07/13
在 Telegram 打开
@qili905
27 浏览2026/07/13
在 Telegram 打开
@qili905
67 浏览2026/07/13
在 Telegram 打开
@qili907
4 浏览2026/07/13
在 Telegram 打开
@qili907
23 浏览2026/07/13
在 Telegram 打开
@elibrarycard
3,060 浏览2026/07/13
在 Telegram 打开
@emoegg
467 浏览2026/07/13
在 Telegram 打开
文字

#机场知识库 GFW的墙中之墙:地区防火墙审查 众所周知,中国通过“防火长城”(GFW)实施集中统一的互联网审查,主要手段包括DNS投毒污染、关键字过滤、IP封锁等。这些技术部署中国国家边界网关路由网络设备上,对进出境流量统一管理,国内流量通常不受影响。 但是在上篇末尾(中国防火长城(GFW)DNS 注入系统中存在严重的内存泄露漏洞) 来自本篇编辑的话中提到了新疆、河南、福建、江苏4个省份地区性防火墙, 本篇就已劳务中心河南省、反诈系统先锋江苏省、 独立反向墙新疆维吾尔自治区的地区性防火墙审查进行一定的研究。 河南省防火墙部署于省内运营商出口,单向过滤(仅拦截出省流量)、统一基于TLS SNI与HTTP Host字段的域名过滤、只能注入带10字节Payload的RST封包,不支持TCP/TLS重组等特点,同时存在解析TCP报头长度的缺陷。 相对来说河南防火墙技术局限于简单的关键字匹配和单向拦截。 但是河南防火墙的黑名单封锁策略更加激进, 包括但不限于封锁整个通用二级域名(例如 *.com.au、*.net.br、*.gov.co、*.org.uk) 屏蔽绝大多数的其他国家相关的州或市政府网站(例如 texas.gov、seattle.gov、alabama.gov、nc.go), 以及对于在河南省内大流量连接海外IP的屏蔽,河南防火墙封锁域名数量约419.7万个,是GFW的五倍。 但是河南防火墙封锁又非常不稳定, 经常会封锁或者解封大量IP或域名。河南防火墙更侧重封锁商业、经济、计算机与互联网类域名。 江苏省防火墙同样部署于省内运营商出口, 与河南不同的是江苏省实行双向封锁(出入省流量都审查,双向阻断), 江苏省更加常用的封锁手段是DNS污染和SNI 阻断, 以及独立的江苏反诈系统 www.js96110.com.cn  (全国其他地区都是全国反诈系统, 江苏有独立的反诈系统), 其他地区可以访问的网站在江苏会SNI 阻断(Socket closed by remote peer), 或者强制重定向到 www.js96110.com.cn , 同时在江苏省内的所有DNS查询都会被污染,包括部分使用DoH/DoT(比如阿里云, 腾讯云加密DNS正常), 江苏DNS污染所有类型的记录, 同时江苏对某些解析国内域名的域名也会进行封锁,江苏运营商存在更加快捷的DPI 和 DNS 日志(用户访问一个 IP/域名之后,会引来多种扫描器/爬虫) 扫描整个网站。 新疆维吾尔自治区同样部署于省内运营商出口, 但是与上述都不同的是新疆墙的是国内IP,就是反向墙(Reverse Firewall),国内服务器 IP, 只要通讯流量过大,几乎 100% 触发反向墙,而其他用途的国内 IP 很少触发,一旦触发,IP 的国际出方向流量会被在国内骨干网的某个特殊节点处丢弃。入境流量则基本正常,因此反向墙无法防御来自海外的攻击流量,仅限制国内出口。 来自本篇编辑的话: 河南防火墙已经过权威结果实验数据验证, 江苏和新疆是业内人士总结实验得知。 上篇 GFW | GFW  | 数据

@emoegg
234 浏览2026/07/13
在 Telegram 打开
文字

#机场知识库 中国防火长城(GFW)DNS 注入系统中存在严重的内存泄露漏洞 中国防火长城(GFW)的DNS注入系统部署在网络边界的中间设备上,该系统监控并干扰DNS查询,通过发送伪造的DNS响应来阻断对特定网站的访问。这些伪造的响应速度较快,从而使客户端优先处理它们。GFW的DNS注入既处理来自中国境内的查询,也处理进入中国的查询。例如,如果境外的主机向一个位于中国大陆的IP地址发送DNS请求,只要请求中包含了被封锁的域名,GFW就会在流量进入中国时插入伪造的响应。 Wallbleed是GFW DNS注入模块中的一个严重漏洞,类似于Heartbleed。该漏洞源于DNS报文解析代码的缺陷,尤其是在处理DNS查询的域名(QNAME)时,未能正确检查域名标签的长度是否超出了报文的实际长度。当发送畸形的DNS查询,其域名标签的长度字节被故意设置得过大时,就会触发这个漏洞。这导致GFW的注入器错误地读取了报文末尾之外的内存内容,并将这些本不应包含的数据写入到伪造的DNS响应中,最终泄露给查询者。 泄露的数据不仅限于DNS信息,还包括IPv4和TCP头信息,违反了其仅应处理特定UDP端口53上DNS查询的预期功能。这种内存泄露可能涉及私有IP到公共服务器的内部流量。 GFW在2023年9月至11月间测试并部署了补丁,增加了对DNS报文的字段完整性校验,不再接受缺失QTYPE/QCLASS的查询,并且增加了对异常长度的检测策略。以前只要域名匹配黑名单就立即伪造回复,而现在还要检查报文格式是否正常,否则宁可不回应。这种调整出于安全考虑,某种程度上削弱了DNS注入的覆盖面,某些非常规查询即使包含被封锁域名也不再触发,从而可能让查询穿透注入系统获得真实答案。 总结:当DNS查询通过中国网络传输至顶级域(TLD)服务器时,GFW可能会在这些查询中注入伪造的DNS响应。这意味着即使请求来自中国以外,只要数据流经中国,就可能被GFW所干扰。此外,GFW向中国的根DNS服务器查询注入了伪造的响应。泄露的数据不仅包括大量隐私数据,还有栈帧和可执行代码片段,由于互联网路由的复杂性,部分境外通信也可能途经中国,从而受到GFW的影响。即使是两个海外主机的通信,如果其数据路径经过中国,Wallbleed漏洞也可能泄露数据。 来自本篇编辑的话: GFW是一个非常复杂的封锁系统,通过边界网关已经植入中国大陆网络的方方面面,限制本片篇幅有限有兴趣的可以阅读原文。但是也有不同的地方,比如 新疆、河南、福建、江苏4个省份审查尤其严格, 新疆的反向墙(屏蔽中国大陆的IP)、 福建的白名单(主要针对海外IP)、 河南的阻断(端口阻断攻击) 、江苏的反诈(独有的江苏反诈系统), 这些统称为地方墙 , 以及最后的全国大墙, 即封锁整个IP和 封锁整个域名, 一般是将整个域名DNS响应到墙的黑名单的IP(黑名单IP就是 例如twitter.com、fb.com, 这些直接封锁整个AS的IP还有一些不断被封锁的IP地址) 下篇 GFW |GFW

@emoegg
204 浏览2026/07/13
在 Telegram 打开
@fhjb5
10 浏览2026/07/13
在 Telegram 打开
@fhjb5
33 浏览2026/07/13
在 Telegram 打开
@fhnkie
2 浏览2026/07/13
在 Telegram 打开
@fhnkie
5 浏览2026/07/13
在 Telegram 打开
@fqzw9
7,200 浏览2026/07/13
在 Telegram 打开